Windows文件读写监控系统
摘要:21世纪,人类进入了一个全新的时代,一个以计算机技术为代表的信息时代。人们的生活节奏随着信息技术的快捷方便而变快。在这次信息革命中谁拥有便捷的信息,谁就掌握了时代的命脉,占据技术的颠峰。在PC领域,称霸桌面的Windows系统的垄断和不公开源代码,对我们研究更是带来很大困难。本程序的全称为Windows下的文件监视程序,是一个工具软件。通过本程序的分析和设计,为创建更大的软件工程提供了一定的帮助。在逆向工程中,可以利用本程序,分析进程的文件读写情况,对工程的开发提供了一定的帮助。本程序采用VC开发环境,利用DLL挂接,拦截API等技术实现了对目标进程的文件读写监视
关键词:文件监视程序工具软件DLL挂接拦截API
1.引言
1.1课题背景
以计算机为代表的信息技术在近几年在全世界得到了飞速的发展,在企事业单位计算机已经成为主要的工作平台,在个人的日常生活中,计算机已经非常普及,就像普通家电那样。计算机技术的运用可以帮助人们减轻负担,提高工作效率。然而我们国家计算机研究起步相对较晚,特别在PC领域,微软的windows 平台垄断了我们国家的绝大部分,再加上它的源代码的不公开,以及众多版本,给我国的平台研究更是带来了很大的困难。
现在我们国家已经有一些公司和集体在研究操作系统。本程序是一个工具软件,它可以做为很多软件项目的工具,可以在项目开发前期进行简单的构造。在设计本程序的时候,运用了很多热门技术,比如DLL 挂接和远线程注射等,在很多杀毒软件和防火墙软件中都有它们的身影。
1.2系统开发的目的和意义
本程序作为一个工具软件,之所以设计它,主要一方面出于学习研究一些热门技术,以及利用这些技术能到达一个什么效果。它用到的技术,比如DLL挂接,API拦截,这些技术在很多杀毒软件等中运用的很多。比如卡巴斯基,它在进程读写时进行拦截,获得读写文件的数据,再利用其杀毒引擎进行查杀病毒。上面提到的拦截实际上是对文件读写API(比如ReadFile,WriteFile等)。很多游戏外挂利用远线程注射,将木马DLL插入游戏进程空间内,一旦插入成功,它就能破坏进程的正常运行,甚至有的对游戏进程的数据区进行搜索内帐号密码等信息,达到窃取帐号等目的。类似这些技术用处很大,几乎所有的市面上知名的软件都有用到。
另一方面是其实用性。本小程序能拦截目标进程对文件的操作,并向用户报告,并且可以设置对目标进程对文件只读,对一些重要数据可以起到一定的仿删除作用。比如一些病毒就专门破坏移动存储设备内的文件,通过对对其设置只读就可以防止这类事情的发生。
1.3国内外概况
在国外技术环境相对较好,很多公司都对windows文件系统都有深刻的研究,并且开发了很多文件过滤驱动程序,他们的功能都类似,这些驱动都处于功能驱动之上,通过对某些IO请求包(IRP)的过滤,实现一定的功能。由于驱动处在内核模式,因此这种方式功能非常强大,杀毒软件一般都在内核模式下监视进程的文件操作,它最先收到进程的IRP,通过修改,抛弃IRP,很容易实现文件的监视效果。另一种方法是在用户模式下监视,这种方法相对简单,它主要是拦截API,将API的头几个字节修改跳转指令,使跳转的我们自己写的替换API中,这样一旦目标进程调用了该被修改的API,就跳到我们写的替换API 上了,通过修改传递进来的参数实现某些功能。
在国内,台湾的志远公司设计的还原精灵,它则是修改MBR,使它的程序先被执行,然后将之前保存的FAT覆盖现在的FAT,到达文件系统的还原。内地的硬盘保护卡,则是采用文件过滤驱动方式。
2.应用技术
本程序作为一个工具软件,出于学习研究一些热门技术,以及利用这些技术能到达一个什么效果。用到Visual C++开发语言,用到API,API HOOK,API拦截,DLL挂接等,这些技术在很多杀毒软件等中运用的很多。
2.1 API
(1)API定义
API(Application Programming Interface,应用程序编程接口)是一些预先定义的函数,目的是提供应用程序与开发人员基于某软件或硬件的以访问一组编程的能力,而又无需访问源码,或理解内部工作机制的细节。API函数包含在Windows系统目录下的动态链接库文件中。
(2)Windows API
Windows API是一套用来控制Windows的各个部件的外观和行为的一套预先定义的Windows函数。用户的每个动作都会引发一个或几个函数的运行以告诉Windows发生了什么。
更易理解地说:Windows 这个多作业系统除了协调应用程序的执行、分配内存、管理系统资源之外,它同时也是一个很大的服务中心,调用这个服务中心的各种服务(每一种服务就是一个函数),可以帮应用程式达到开启视窗、描绘图形、使用周边设备等目的,由于这些函数服务的对象是应用程序,所以便称之为Application Programming Interface,简称API 函数。凡是在Windows 工作环境底下执行的应用程式,都可以调用Windows API。
(3)API 分为四种类型
远程过程调用(RPC):通过作用在共享数据缓存器上的过程(或任务),实现程序间的通信。
标准查询语言(SQL):是标准的访问数据的查询语言,通过通用数据库实现应用程序间的数据共享。
文件传输:文件传输通过发送格式化文件实现应用程序间数据共享。
信息交付:指松耦合或紧耦合应用程序间的小型格式化信息,通过程序间的直接通信实现数据共享。
2.2 API HOOK
在Windows系统下编程,应该会接触到API函数的使用,常用的API函数大概有2000个左右。随着控件,stl等高效编程技术的出现,API的使用概率在普通的用户程序上就变得越来越小了。当诸如控件这些现成的手段不能实现的功能时,我们还需要借助API。最初有些人对某些API函数的功能不太满意,就产生了如何修改这些API,使之更好的服务于程序的想法,这样API HOOK就自然而然的出现了。
通过API HOOK,改变一个系统API的原有功能。基本的方法就是通过HOOK“接触”到需要修改的API函数入口点,改变它的地址指向新的自定义的函数。API HOOK并不属于MSDN上介绍的13类HOOK 中的任何一种。所以说,API HOOK并不是什么特别不同的HOOK,它也需要通过基本的HOOK提高自己的权限,跨越不同进程间访问的限制,达到修改API函数地址的目的。对于自身进程空间下使用到的API函数地址的修改,是不需要用到API HOOK技术就可以实现的。
2.3 Visual C++
Visual C++是一种可视化的、面对对象的高级程序设计,可用于开发Windows环境下的种类应用程序。它简单易学、效率高,且功能强大。在Visual Basic环境下,使用Windows内部的应用程序接口(API)函数,以及动态链接库(DLL)、动态数据交换(DDE)、对象的链接与嵌入(OLE)、开放式数据访问(ODBC)等技术,可以高效、快速地开发出Windows环境下功能强大、图形界面丰富的应用软件系统。
同时,由于本程序中的监视模块必须做成一个动态链接库,所以要求的开发环境必须能很好的支持动态链接库的开发。
2.4 DLL
动态链接库英文为DLL,是Dynamic Link Library 的缩写形式,DLL是一个包含可由多个程序同时使用的代码和数据的库,DLL不是可执行文件。动态链接提供了一种方法,使进程可以调用不属于其可执行代码的函数。函数的可执行代码位于一个DLL 中,该DLL 包含一个或多个已被编译、链接并与使用它们的进程分开存储的函数。DLL 还有助于共享数据和资源。多个应用程序可同时访问内存中单个DLL 副本的内容。DLL 是一个包含可由多个程序同时使用的代码和数据的库。
3.系统总体分析
3.1系统的可行性研究
可行性研究的目的是用最小的代价在尽可能短的时间内确定问题是否能够解决。也就是说可行性研究的目的不是解决问题,而是确定问题是否值得去解,研究在当前的具体条件下,开发新系统是否具备必要的资源和其它条件。一般说来,应从经济可行性、技术可行性、运行可行性、法律可行性和开发方案可行性等方面研究可行性。
3.2系统需求分析
由于开发该系统的工具为Microsoft 公司的Visual C ++6.0,所以在分析阶段应当结合Visual C++ 6.0 这种工具的自身的特点进行建模。这样,一方面能够最大限度的发挥该工具的优越性;另一方面,可以利用该工具的优点使系统更加完善、可靠和稳定。
本程序为一个工具软件。该程序要满足如下功能:
(1) 程序应建立友好的界面,既要操作简单、直观、灵活,又要易于学习掌握。
(2) 本程序需要在目标进程插入DLL ,要保证不去破坏目标进程的正常运行。
(3) 如果本程序用来监视系统进程,要保证不去破坏系统进程,不使系统无法工作。
(4) 系统的模块化程度要高,系统可扩充、易维护。
3.3系统数据流图
数据流图(DFD )是一种图形化技术,它描绘信息流和数据从输入到输出的过程中所经受的变换。在数据流图中没有任何具体的物理元素,它知识描绘信息在软件中流动和被处理的情况。因为数据流图是系统逻辑功能的图形表示,即使不是专业的计算机技术人员也容易理解它,所以是分析员与用户之间极好的通信工具。此外,设计数据流图时只需要考虑系统必须完成的基本逻辑功能,完全不需要考虑怎样具体地实现这些功能。
系统总的数据流图如图3.1所示。
图3.1系统总数据流图
系统功能级数据流图如图3.2所示。
被监视进程名
图3.2系统功能级数据流图 4.系统总体设计
4.1功能模块分析
本程序的主要任务是监视进程的文件读写操作。主要用户为软件项目开发人员。程序提供友好界面,Windows 下的文件
监视程序 目标 用户
信息查询 文件名信息 缓冲大小信息
读写信息 进程名信息 文件读写信息 进程文件读写信息 进程文件读写信息
目标进程
操作简单。
为实现这些功能,系统要包含如下几个基本模块:
(1)监视模块。负责监视本进程的文件操作。
(2)DLL注射模块。注射监视模块到被监视进程地址空间。
(3)信息交换模块。收集文件操作信息和负责进程间通信。
(4)数据显示模块。显示收集来的信息。
(5)APIHOOK模块。HOOK需要挂钩的API函数。
(6)选项模块。配置程序监控设置。
(7)文件读写监控模块。核心模块,负责监控文件读写操作。
此外采用硬件软件及科学的系统开发方案,设计本程序,实现文件监视的计算机自动化。系统应符合现代化、自动化的管理制度,并达到操作直观、方便、实用、安全等要求。
系统总体流程图如图4.1.所示
开始
初始化
是否选择监视模式
N
Y
是否输入进程名
N
Y
开始监视
结束
图4.1系统总体流程图
系统功能模块如图4.2所示
主界面
显示模块监视模块注射模块
图4.2系统总体功能模块图
4.2显示模块
显示模块是向用户报告监视信息的主要地方。当注射模块将监视模块注射到被监视进程中后,显示模块向之前建立的内存文件映射中获取数据,而这些数据有监视模块提供。在监视模块里主要通过一个列表控件,显示监视信息。
4.3注射模块
注射模块的作用是负责将监视模块注射到被监视进程地址空间中去。
用CreateThread可以在当前进程里建立一个线程,远线程与此类似,只不过是在其他进程中建立一个线程,用API函数CreateRemoteThread。这个远线程建立后就与建立它的进程无关了,而是进入了另外一个进程。举例说,进程A可以在进程B中建立一个远线程,这个远线程就是进程B中的线程了,而此时如果进程A结束了,也不会影响到那个远线程的运行,除非进程B也结束了,那个远线程才会结束。
远程线程技术指的是通过在另一个进程中创建远程线程的方法进入那个进程的内存地址空间。我们知道,在进程中,可以通过CreateThread函数创建线程,被创建的新线程与主线程(就是进程启动时被同时自动建立的那个线程)共享地址空间以及其他的资源。不过,通过CreateRemoteThread也同样可以在另一个进程内创建新线程,被创建的远程线程同样可以共享远程进程的地址空间,所以,实际上,我们通过一个远程线程,进入了远程进程的内存地址空间,也就拥有了那个远程进程相当的权限。
其工作过程步骤如下:
第一步找到目标进程的PID,假设把目标进程定为explorer.exe。
第二步调用OpenProcess(参数表)来打开目标进程--远程PROCESS_CREATE_THREAD。
允许远程创建线程
PROCESS_VM_OPERATION
允许远程VM操作
PROCESS_VM_WRITE
允许远程VM写操作,参数表示要对目标进程的权限的分配,这里在参数中要提供第一步获取的PID。
第三步要调用VirtualAllocEx(HANDLE hProcess, LPVOID lpAddress, SIZE_T dwSize, DWORD flAl locationType, DWORD flProtect )函数在目标进程中分配内存。
其中hProcess 是嵌入目标进程的句柄,在我们的实际操作中是一个远程的进程。dwSize是要分配的
内存大小。
第四步调用WriteProcessMemory()函数向申请的内存中写入要注入木马.dll的路径和名称
writeProcessMemory
(hRemoteProcess, //远程进程pszLibFileRemote, //具体空间
(PVOID) wCurPath, //远程进程路径
changdu, NULL //长度);
第五步计算入口地址,也就是远程线程的地址
PTHREAD_START_ROUTINE
pfndizhi = GetProcAddress(GetModuleHandle(TEXT("Kernel32")), "LoadLibraryW");
Pfndizhi为入口地址,LoadLibraryW函数是在kernel32.dll中定义的,就是用来启动DLL文件
第六步利用CreateRemoteThread()在远程进程中创建一个线程,这个线程执行LoadLibraryW,就实现了通过远程线程调用木马DLL文件。
要把LoadLibraryW的入口地址代入
hRemoteThread = CreateRemoteThread(hRemoteProcess, NULL, 0, pfndizhi, pszLibFileRemote,0, NULL);
4.4 APIHOOK模块
当动态链接库被注入到目标进程之后,动态链接库的初始化函数会负责将进程中会调用的读写文件的API函数HOOK住。
该类的构造函数需要传入三个参数:需要HOOK的API函数的函数名,目标API函数所在地动态链接库文件名以及自己的处理函数的地址。
HOOKAPI函数的主要流程如下:
(1)动态链接库通过LoadLibrary函数加载目标API所在地DLL文件,并获取你句柄;
(2)成功获取DLL句柄之后,使用GetProcAddress函数获取目标API函数在进程中的内存地址;
(3)之后需要调用ReadProcessMemory函数读取API函数所在位置的函数汇编代码,并保存;
(4)向目标API函数所在的内存地址写入跳转汇编码,当应用程序执行到函数开头时就会执行新写入的跳转代码跳转到自己的处理函数中去。从而截获文件的读写操作。
其流程图如下:
图4.4 API HOOK 流程图
4.5选项模块
该模块是一个对话框,它的作用是显示当前系统的所有进程,由用户选择要监视的进程,它在对话框初始化的时候获取系统中的所有进程名,显示在左边的对话框。
选项模块的主要功能是获得系统内的所有进程名,并将它们用一个列表空间显示,由用户选择监视哪些进程,同过双击列表控件的选项,将选中的进程明添加到”监视进程列表”中,该列表列出了所有要监视的进程名。如果选择了“只读”复选按钮,对被监视采取只读,使被监视进程对文件只能读。该模块通过系统快照来获得当前系统内的所有进程,对当前系统所有已开启的进程进行枚举,就必须首先获得那些加载到内存的进程当前相关状态信息。
在Windows 操作系统下,这些进程的当前状态信息不能直接从进程本身获取,系统已为所有保存在系统内存中的进程、线程以及模块等的当前状态的信息制作了一个只读副本--系统快照,用户可以通过对系统快照的访问完成对进程当前状态的检测。在具体实现时,系统快照句柄的获取是通过Win32 API 函数CreateToolhelp32Snapshot()来完成的,通过该函数不仅可以获取进程快照,而且对于堆、模块和线程的系统快照同样可以获取。在得到系统的快照句柄后,就可以对当前进程的标识号进行枚举了,通过这些枚举出的进程标识号可以很方便的对进程进行管理。进程标识号通过函数Process32First() 和 Process32Next()而得到,这两个函数可以枚举出系统当前所有开启的进程,并且可以得到相关的进程信息。
是否成功
开始
修改函数代码
保存函数代码 加载动态链接库
获取函数地址
是否成功
报错 结束
报错
N
N Y
Y
4.6文件读写监控模块
本模块为对进程文件读写操作监控的核心模块,本模块能够在被监控进程尝试读写文件时进行拦截,从而获得进程尝试读写文件的句柄,通过文件句柄得到文件路径,完成文件读写监控功能。本模块需要以上所有模块组合完成。
进程在对文件进行读写时必须先调用OpenFile或CreateFile函数打开文件,打开文件后进程调用WriteFile和ReadFile函数对文件进行读写操作。因此本模块的主要工作流程如下:
(1)选择需要监控的进程,也可以选择全局监控,即监控系统中所有进程。
(2)将包含监控功能的动态链接库通过注射模块注射到远程进程。
(3)被注射的动态链接库在初始化过程中使用APIHOOK类分别挂钩OpenFile,CreateFile,ReadFile,W riteFile函数四个函数。
其工作流程图如下:
开始
选择被监控进程
注射动态链接库
挂钩API函数
结束
图 4.5 开始监控流程图
当OpenFile,CreateFile,ReadFile,WriteFile四个API函数被挂钩后,当被挂钩的API函数被调用就会跳转到我们的钩子函数中去执行,从而进程的读写文件操作被拦截下来,当监控程序允许进程对文件的读写操作时只需要恢复被调用的API函数,然后调用API函数即可。否则直接返回访问不被允许。其工作流程如下:
(1)进程准备对文件进行读写操作;
(2)进程调用CreateFile或者OpenFile函数对文件进行打开操作;
(3)HOOK函数CreateFile或OpenFile的代码被执行;
(4)跳转到监控程序的监控代码中执行;
(5)监控程序确定是否允许进程的文件读写操作;
(6)如果允许则恢复被HOOK的API函数,并调用,在调用后重新将API进行HOOK;
(7)如果不允许则直接向进程返回操作失败。
其工作流程图如下:
图4.6 监控模块实现流程图
Y
N 进程准备打开文件 API 函数被调用 钩子代码被执行 开始
转入监控程序
是否允许读写 恢复挂钩API 执行API
返回失败 重新挂钩API
结束
winver 检查Windows版本 wmimgmt.msc 打开Windows管理体系结构(wmi) wupdmgr Windows更新程序 wscript Windows脚本宿主设置 write 写字板 winmsd 系统信息 wiaacmgr 扫描仪和照相机向导 winchat xp自带局域网聊天 mem.exe 显示内存使用情况 msconfig.exe 系统配置实用程序 mplayer2 简易widnows media player mspaint 画图板 mstsc 远程桌面连接 mplayer2 媒体播放机 magnify 放大镜实用程序 mmc 打开控制台 mobsync 同步命令 dxdiag 检查directx信息 drwtsn32 系统医生 devmgmt.msc 设备管理器 dfrg.msc 磁盘碎片整理程序 diskmgmt.msc 磁盘管理实用程序 dcomcnfg 打开系统组件服务 ddeshare 打开dde共享设置 dvdplay dvd播放器 net stop messenger 停止信使服务 net start messenger 开始信使服务 notepad 打开记事本 nslookup 网络管理的工具向导 ntbackup 系统备份和还原 narrator 屏幕“讲述人” ntmsmgr.msc 移动存储管理器 ntmsoprq.msc 移动存储管理员操作请求
netstat -an (tc)命令检查接口 syncapp 创建一个公文包 sysedit 系统配置编辑器 sigverif 文件签名验证程序 sndrec32 录音机 shrpubw 创建共享文件夹 secpol.msc 本地安全策略 syskey 系统加密,一旦加密就不能解开,保护Windows xp系统的双重密码services.msc 本地服务设置 sndvol32 音量控制程序 sfc.exe 系统文件检查器 sfc /scannow windows文件保护tsshutdn 60秒倒计时关机命令 tourstart xp简介(安装完成后出现的漫游xp程序) taskmgr 任务管理器 eventvwr 事件查看器 eudcedit 造字程序 explorer 打开资源管理器 packager 对象包装程序 perfmon.msc 计算机性能监测程序 progman 程序管理器 regedit.exe 注册表 rsop.msc 组策略结果集 regedt32 注册表编辑器 rononce -p 15秒关机 regsvr32 /u *.dll 停止dll文件运行 regsvr32 /u zipfldr.dll 取消zip支持 cmd.exe cmd命令提示符 chkdsk.exe chkdsk磁盘检查 certmgr.msc 证书管理实用程序 calc 启动计算器
cmd是command的缩写.即命令行。 虽然随着计算机产业的发展,Windows 操作系统的应用越来越广泛,DOS 面临着被淘汰的命 运,但是因为它运行安全、稳定,有的用户还在使用,所以一般Windows 的各种版本都与其兼容,用户可以在Windows 系统下运行DOS,中文版Windows XP 中的命令提示符进一步提高了与DOS 下操作命令的兼容性,用户可以在命令提示符直接输入中文调用文件。 在9x系统下输入command就可以打开命令行.而在NT系统上可以输入cmd来打开,在 windows2003后被cmd替代,利用CMD命令查询系统的信息或者是判断网络的好坏。 运行操作 CMD命令:开始->运行->键入cmd或command(在命令行里可以看到系统版本、文件系统版本) CMD命令锦集 1. gpedit.msc-----组策略 2. sndrec32-------录音机 3. Nslookup-------IP地址侦测器,是一个监测网络中DNS 服务器是否能正确实现域名解析的命令行工具。它在Windows NT/2000/XP 中均可使用, 但在Windows 98 中却没有集成这一个工具。 4. explorer-------打开资源管理器 5. logoff---------注销命令 6. shutdown-------60秒倒计时关机命令 7. lusrmgr.msc----本机用户和组 8. services.msc---本地服务设置 9. oobe/msoobe /a----检查XP是否激活 10. notepad--------打开记事本 11. cleanmgr-------垃圾整理 12. net start messenger----开始信使服务 13. compmgmt.msc---计算机管理 14. net stop messenger-----停止信使服务 15. conf-----------启动netmeeting 16. dvdplay--------DVD播放器 17. charmap--------启动字符映射表 18. diskmgmt.msc---磁盘管理实用程序 19. calc-----------启动计算器 20. dfrg.msc-------磁盘碎片整理程序 21. chkdsk.exe-----Chkdsk磁盘检查 22. devmgmt.msc--- 设备管理器 23. regsvr32 /u *.dll----停止dll文件运行 24. drwtsn32------ 系统医生 25. rononce -p----15秒关机 26. dxdiag---------检查DirectX信息 27. regedt32-------注册表编辑器 28. Msconfig.exe---系统配置实用程序 29. rsop.msc-------组策略结果集 30. mem.exe--------显示内存使用情况
开始→运行→输入的命令集锦 winver---------检查Windows版本 wmimgmt.msc----打开windows管理体系结构(WMI) wupdmgr--------windows更新程序 wscript--------windows脚本宿主设置 write----------写字板 winmsd---------系统信息 wiaacmgr-------扫描仪和照相机向导 winchat--------XP自带局域网聊天 mem.exe--------显示内存使用情况 Msconfig.exe---系统配置实用程序 mplayer2-------简易widnows media player mspaint--------画图板 mstsc----------远程桌面连接 mplayer2-------媒体播放机 magnify--------放大镜实用程序 mmc------------打开控制台 mobsync--------同步命令 dxdiag---------检查DirectX信息 drwtsn32------ 系统医生 devmgmt.msc--- 设备管理器 dfrg.msc-------磁盘碎片整理程序 diskmgmt.msc---磁盘管理实用程序 dcomcnfg-------打开系统组件服务 ddeshare-------打开DDE共享设置 dvdplay--------DVD播放器 net stop messenger-----停止信使服务 net start messenger----开始信使服务 notepad--------打开记事本 nslookup-------网络管理的工具向导 ntbackup-------系统备份和还原 narrator-------屏幕“讲述人” ntmsmgr.msc----移动存储管理器 ntmsoprq.msc---移动存储管理员操作请求 netstat -an----(TC)命令检查接口 syncapp--------创建一个公文包 sysedit--------系统配置编辑器 sigverif-------文件签名验证程序 sndrec32-------录音机 shrpubw--------创建共享文件夹 secpol.msc-----本地安全策略 syskey---------系统加密,一旦加密就不能解开,保护windows xp系统的双重密码 services.msc---本地服务设置Sndvol32-------音量控制程序 sfc.exe--------系统文件检查器 sfc /scannow---windows文件保护 tsshutdn-------60秒倒计时关机命令 tourstart------xp简介(安装完成后出现的漫游xp程序)taskmgr--------任务管理器 eventvwr-------事件查看器 eudcedit-------造字程序 explorer-------打开资源管理器 packager-------对象包装程序 perfmon.msc----计算机性能监测程序 progman--------程序管理器 regedit.exe----注册表 rsop.msc-------组策略结果集 regedt32-------注册表编辑器 rononce -p ----15秒关机 regsvr32 /u *.dll----停止dll文件运行 regsvr32 /u zipfldr.dll------取消ZIP支持 cmd.exe--------CMD命令提示符 chkdsk.exe-----Chkdsk磁盘检查 certmgr.msc----证书管理实用程序 calc-----------启动计算器 charmap--------启动字符映射表 cliconfg-------SQL SERVER 客户端网络实用程序 Clipbrd--------剪贴板查看器 conf-----------启动netmeeting compmgmt.msc---计算机管理 cleanmgr-------垃圾整理 ciadv.msc------索引服务程序 osk------------打开屏幕键盘 odbcad32-------ODBC数据源管理器 oobe/msoobe /a----检查XP是否激活 lusrmgr.msc----本机用户和组 logoff---------注销命令 iexpress-------木马捆绑工具,系统自带 Nslookup-------IP地址侦测器 fsmgmt.msc-----共享文件夹管理器 utilman--------辅助工具管理器 sndrec32-------录音机 Nslookup-------IP地址侦测器 explorer-------打开资源管理器 logoff---------注销命令 tsshutdn-------60秒倒计时关机命令 lusrmgr.msc----本机用户和组
windors系统运行命令大全 winver---------检查Windows版本 wmimgmt.msc----打开windows管理体系结构(WMI) wupdmgr--------windows更新程序 wscript--------windows脚本宿主设置 write----------写字板 winmsd---------系统信息 wiaacmgr-------扫描仪和照相机向导 winchat--------XP自带局域网聊天 mem.exe--------显示内存使用情况 Msconfig.exe---系统配置实用程序 mplayer2-------简易widnows media player mspaint--------画图板 mstsc----------远程桌面连接 mplayer2-------媒体播放机 magnify--------放大镜实用程序 mmc------------打开控制台 mobsync--------同步命令 dxdiag---------检查DirectX信息 drwtsn32------ 系统医生 devmgmt.msc--- 设备管理器 dfrg.msc-------磁盘碎片整理程序 diskmgmt.msc---磁盘管理实用程序 dcomcnfg-------打开系统组件服务 ddeshare-------打开DDE共享设置 dvdplay--------DVD播放器 net stop messenger-----停止信使服务 net start messenger----开始信使服务 notepad--------打开记事本 nslookup-------网络管理的工具向导 ntbackup-------系统备份和还原 narrator-------屏幕“讲述人” ntmsmgr.msc----移动存储管理器 ntmsoprq.msc---移动存储管理员操作请求 netstat -an----(TC)命令检查接口 syncapp--------创建一个公文包 sysedit--------系统配置编辑器 sigverif-------文件签名验证程序 sndrec32-------录音机 shrpubw--------创建共享文件夹 secpol.msc-----本地安全策略 syskey---------系统加密,一旦加密就不能解开,保护windows xp系统的双重密码services.msc---本地服务设置 Sndvol32-------音量控制程序
开始→运行(cmd)命令大全CMD运行指令 开始→运行→CMD→键入以下命令即可: gpedit.msc-----组策略 -------录音机 Nslookup-------IP地址侦测器 -------打开资源管理器 logoff---------注销命令 -------60秒倒计时关机命令 lusrmgr.msc----本机用户和组 services.msc---本地服务设置 oobe/msoobe /a----检查XP是否激活 notepad--------打开记事本 cleanmgr-------垃圾整理 net start messenger----开始信使服务 compmgmt.msc---计算机管理 net stop messenger-----停止信使服务 conf-----------启动netmeeting dvdplay--------DVD播放器 charmap--------启动字符映射表 diskmgmt.msc---磁盘管理实用程序 calc-----------启动计算器 dfrg.msc-------磁盘碎片整理程序 chkdsk.exe-----Chkdsk磁盘检查 devmgmt.msc--- 设备管理器 regsvr32 /u *.dll----停止dll文件运行 drwtsn32------ 系统医生 rononce -p ----15秒关机 dxdiag---------检查DirectX信息 regedt32-------注册表编辑器 Msconfig.exe---系统配置实用程序 rsop.msc-------组策略结果集 mem.exe--------显示内存使用情况 regedit.exe----注册表 winchat--------XP自带局域网聊天 progman--------程序管理器 winmsd---------系统信息 perfmon.msc----计算机性能监测程序 winver---------检查Windows版本
win7_dos运行命令大全 Windows系统里的“运行”命令虽然有些“古板”,但有些时候却可以让繁琐的操作变得轻松自如,简单快捷!特别是一些隐含的“工具”,Windows运行命令更是得心应手。在现在微软的主导产品Windows 7中依然存在着古板的运行命令。 Windows7作为微软新操作系统,有哪些运行命令呢?下面我们就一起来看看吧。 1、cleanmgr: 打开磁盘清理工具 2、compmgmt.msc: 计算机管理 3、conf: 启动系统配置实用程序 4、charmap: 启动字符映射表 5、calc: 启动计算器 6、chkdsk.exe: Chkdsk磁盘检查 7、cmd.exe: CMD命令提示符 8、certmgr.msc: 管理实用程序 9、Clipbrd: 剪贴板查看器 10、dvdplay: DVD播放器 11、diskmgmt.msc: 磁盘管理实用程序 12、dfrg.msc: 磁盘碎片整理程序 13、devmgmt.msc: 设备管理器 14、dxdiag: 检查DirectX信息 15、dcomcnfg: 打开系统组件服务 16、explorer: 打开资源管理器 17、eventvwr: 事件查看器 18、eudcedit: 造字程序 19、fsmgmt.msc: 共享文件夹管理器 20、gpedit.msc: 组策略 21、iexpress: 工具,系统自带 22、logoff: 注销命令 23、lusrmgr.msc: 本机用户和组 24、MdSched:来启动Windows内存诊断程序 25、mstsc: 远程桌面连接 26、Msconfig.exe: 系统配置实用程序 27、mplayer2: 简易widnows media player 28、mspaint: 画图板 29、magnify: 放大镜实用程序 30、mmc: 打开控制台 31、mobsync: 同步命令 32、notepad: 打开记事本 33、nslookup: 网络管理的工具向导 34、narrator: 屏幕“讲述人” 35、netstat : an(TC)命令检查接口 36、OptionalFeatures:打开“打开或关闭Windows功能”对话框 37、osk: 打开屏幕键盘 38、perfmon.msc: 计算机性能监测程序
1. gpedit.msc-----组策略 2. sndrec32-------录音机 3. Nslookup-------IP地址侦测器 4. explorer-------打开资源管理器 5. logoff---------注销命令 6. tsshutdn-------60秒倒计时关机命令 7. lusrmgr.msc----本机用户和组 8. services.msc---本地服务设置 9. oobe/msoobe /a----检查XP是否激活 10. notepad--------打开记事本 11. cleanmgr-------垃圾整理 12. net start messenger----开始信使服务 13. compmgmt.msc---计算机管理 14. net stop messenger-----停止信使服务 15. conf-----------启动netmeeting 16. dvdplay--------DVD播放器 17. charmap--------启动字符映射表 18. diskmgmt.msc---磁盘管理实用程序 19. calc-----------启动计算器 20. dfrg.msc-------磁盘碎片整理程序 21. chkdsk.exe-----Chkdsk磁盘检查 22. devmgmt.msc--- 设备管理器 23. regsvr32 /u *.dll----停止dll文件运行 24. drwtsn32------ 系统医生 25. rononce -p ----15秒关机 26. dxdiag---------检查DirectX信息 27. regedt32-------注册表编辑器 28. Msconfig.exe---系统配置实用程序 29. rsop.msc-------组策略结果集 30. mem.exe--------显示内存使用情况 31. regedit.exe----注册表 32. winchat--------XP自带局域网聊天 33. progman--------程序管理器 34. winmsd---------系统信息 35. perfmon.msc----计算机性能监测程序 36. winver---------检查Windows版本 37. sfc /scannow-----扫描错误并复原 38. taskmgr-----任务管理器(2000/xp/2003 40. wmimgmt.msc----打开windows管理体系结构(WMI) 41. wupdmgr--------windows更新程序 42. wscript--------windows脚本宿主设置 43. write----------写字板 44. winmsd---------系统信息 45. wiaacmgr-------扫描仪和照相机向导
Win7常用的运行命令大全 Windows7作为微软新操作系统,有哪些运行命令呢?下面我们就一起来看看吧。 Ctrl+F输入关键词查找需要的命令 1、cleanmgr:打开磁盘清理工具 2、compmgmt.msc:计算机管理 3、conf:启动系统配置实用程序 4、charmap:启动字符映射表 5、calc:启动计算器 6、chkdsk.exe:Chkdsk磁盘检查 7、cmd.exe:CMD命令提示符 8、certmgr.msc:证书管理实用程序 9、Clipbrd:剪贴板查看器 10、dvdplay:DVD播放器 11、diskmgmt.msc:磁盘管理实用程序 12、dfrg.msc:磁盘碎片整理程序 13、devmgmt.msc:设备管理器 14、dxdiag:检查DirectX信息 15、dcomcnfg:打开系统组件服务 16、explorer:打开资源管理器 17、eventvwr:事件查看器 18、eudcedit:造字程序 19、fsmgmt.msc:共享文件夹管理器 20、gpedit.msc:组策略 21、iexpress:工具,系统自带 22、logoff:注销命令 23、lusrmgr.msc:本机用户和组 24、MdSched:来启动Windows内存诊断程序 25、mstsc:远程桌面连接
26、Msconfig.exe:系统配置实用程序 27、mplayer2:简易widnows media player 28、mspaint:画图板 29、magnify:放大镜实用程序 30、mmc:打开控制台 31、mobsync:同步命令 32、notepad:打开记事本 33、nslookup:网络管理的工具向导 34、narrator:屏幕“讲述人” 35、netstat:an(TC)命令检查接口 36、OptionalFeatures:打开“打开或关闭Windows功能”对话框 37、osk:打开屏幕键盘 38、perfmon.msc:计算机性能监测程序 39、regedt32:注册表编辑器 40、rsop.msc:组策略结果集 41、regedit.exe:注册表 42、services.msc:本地服务设置 43、sysedit:系统配置编辑器 44、sigverif:文件签名验证程序 45、shrpubw:创建共享文件夹 46、secpol.msc:本地安全策略 47、syskey:系统加密 48、Sndvol:音量控制程序 49、sfc.exe:系统文件检查器,如系统经常提示如d3dx11_43.dll这些XXX文件丢失。 50、sfc/scannow:windows文件保护(扫描错误并复原) 51、taskmgr:任务管理器 52、utilman:辅助工具管理器 53、winver:检查Windows版本
windows server 2008 分布式文件系统 DFS [windows 2008 server 新技术文章] 概述 分布式文件系统(Distributed file systems) 是Windows 2008服务器中众多的功能之一,它可以把分布在许多不同服务器上的共享文件夹组合在一个逻辑名字空间中,使用户可以更方便地查找和访问网络上的共享文件夹。如公司网络上有8台员工每天都需要使用的文件服务器,如果没有Dfs 服务器,用户需要记住8台服务器的名字和所有共享文件夹的共享名,还必须映射多个驱动器。有了DFS 后,可以在公司的域控制器DC 服务器上创建一个DFS 根目录,该服务器也就成为了DFS 根目录服务器,该 DFS 根目录与其他文件服务器上的共享文件夹之间都存在连接。用户在访问DFS 根目录时,这些共享文件夹也都依赖于根目录 服务器。事实上,连接可以把用户的访问重新定向到文件服务器上的共享文件夹。DFS 可以解决一些由于存储容量限制、规划不好或在网络上添加服务器而引起的“分布共享”问题。 windows server 2008的DFS 服务还提供另一个功能,同步数据。DFS 的数据同步功能可以实现网络中两台或多台服务器文件数据内容的一致性。 安装 DFS 简介 DFS 根的概念 在windows 2008又称命名空间。在Windows 2008中可以创建两种DFS 根:独立型和基于域型的DFS 根。使用独立型的DFS 根,一旦用作DFS 根服务器的服务器当机,即使所有包含共享文件夹的服务器仍然在运行,用户也不能再访问共享文件夹。使用基于域的DFS 根,可以指定其他的服务器(称作根复制服务器)来保存DFS 的副本,从而使整个系统具有一定的容错性和负载平衡能力,也就在一定程度上解决了独 立型DFS 根带来的问题。此外,通过使用 活动目录AD 地址,一个与DFS 根服务器连接的用户也将试图连接同名的地址,减少网络上的数据流量。 通过建立根复制服务器,可以在DFS 树中创建连接,把用户提交给共享文件夹的各个副本,它不但提供了一定程度的容错能力和负载平衡能力,而且可以在共享一级上充分利用网络的拓扑结构来控制网络上的数据流量。 DFS 根的创建
Win+R 运行命令 2012-10-08 15:47:55| 分类:小IT | 标签:运行命令 cmd win+r xp/win7 电脑|字号大中小订阅 1、cleanmgr:打开磁盘清理工具 2、compmgmt.msc:计算机管理 3、conf:启动系统配置实用程序 4、charmap:启动字符映射表 5、calc:启动计算器 6、chkdsk.exe:Chkdsk磁盘检查 7、cmd.exe:CMD命令提示符 8、certmgr.msc:证书管理实用程序 9、Clipbrd:剪贴板查看器 10、dvdplay:DVD播放器 11、diskmgmt.msc:磁盘管理实用程序 12、dfrg.msc:磁盘碎片整理程序 13、devmgmt.msc:设备管理器 14、dxdiag:检查DirectX信息 15、dcomcnfg:打开系统组件服务 16、explorer:打开资源管理器 17、eventvwr:事件查看器 18、eudcedit:造字程序 19、fsmgmt.msc:共享文件夹管理器 20、gpedit.msc:组策略 21、iexpress:工具,系统自带 22、logoff:注销命令 23、lusrmgr.msc:本机用户和组 24、MdSched:来启动Windows内存诊断程序 25、mstsc:远程桌面连接 26、Msconfig.exe:系统配置实用程序 27、mplayer2:简易widnowsmediaplayer 28、mspaint:画图板 29、magnify:放大镜实用程序 30、mmc:打开控制台 31、mobsync:同步命令 32、notepad:打开记事本 33、nslookup:网络管理的工具向导 34、narrator:屏幕“讲述人” 35、netstat:an(TC)命令检查接口 36、OptionalFeatures:打开“打开或关闭Windows功能”对话框 37、osk:打开屏幕键盘 38、perfmon.msc:计算机性能监测程序 39、regedt32:注册表编辑器 40、rsop.msc:组策略结果集
WINDOWS操作系统中CMD运行指令开始→运行(cmd)命令大全 开始→运行→CMD→键入以下命令即可: gpedit.msc-----组策略 sndrec32-------录音机 Nslookup-------IP地址侦测器 explorer-------打开资源管理器 logoff---------注销命令 tsshutdn-------60秒倒计时关机命令 lusrmgr.msc----本机用户和组 services.msc---本地服务设置 oobe/msoobe /a----检查XP是否激活 notepad--------打开记事本 cleanmgr-------垃圾整理 net start messenger----开始信使服务 compmgmt.msc---计算机管理 net stop messenger-----停止信使服务 conf-----------启动netmeeting dvdplay--------DVD播放器 charmap--------启动字符映射表 diskmgmt.msc---磁盘管理实用程序 calc-----------启动计算器
dfrg.msc-------磁盘碎片整理程序 chkdsk.exe-----Chkdsk磁盘检查devmgmt.msc--- 设备管理器 regsvr32 /u *.dll----停止dll文件运行drwtsn32------ 系统医生 rononce -p ----15秒关机 dxdiag---------检查DirectX信息 regedt32-------注册表编辑器 Msconfig.exe---系统配置实用程序 rsop.msc-------组策略结果集 mem.exe--------显示内存使用情况regedit.exe----注册表 winchat--------XP自带局域网聊天progman--------程序管理器 winmsd---------系统信息 perfmon.msc----计算机性能监测程序winver---------检查Windows版本 sfc /scannow-----扫描错误并复原 winipcfg-------IP配置 taskmgr-----任务管理器(2000/xp/2003)command--------cmd fsmgmt.msc 共享文件夹
各文件系统所支持的操作系统列表 FAT32-->NTFS: Windows 2000/XP 提供了分区格式转换工具“Convert.exe”。Convert.exe 是 Windows 2000附带的一个DOS 命令行程序,通过这个工具可以直接在不破坏FAT 文件系统的前提下,将FAT 转换为NTFS 。需要注意的是,在转换开始前,你必须关闭所有的应用程序,否则系统会发出错误信息。现在让我们开始,假定我们要转换的磁盘是D 盘: 1、单击“开始”菜单中的“运行”命令。 2、在“运行”命令窗口中输入“Convert D :/FS :NTFS/V”,并单击“确定”按钮。 3、应用程序会给出磁盘空间总量、可用空间量及转换所需空间量等参数,此后转换就开始了。根据转换内容的数量不同,所需时间也不同。 4、转换完毕应用程序提示“文件系统转换完毕”。 5、确定并退出。 此外,在Win XP 系统中,也可选择“开始-》程序-》命令提示符”,在弹出的“命令提示符”窗口中输入“Convert D :/FS :NTFS/V”,并按“Enter”键。 我在运用上述方法时发现:在Win2000系统中,不能用这种方法转换操作系统盘,也就是通常大家都选择安装系统的C 盘。如果强行转换就会造成数据丢失,转换完成之后的操作系统经常发生错误。而在Win XP 系统中则不存在这个问题,当你选择要转换操作系统盘时,你会接到一个提示,是告诉某些系统文件如强行转换就会出错,问你是否强行转换。当然,不能选择“是”,于是在选择“否”之后,系统会重新启动,然后自动完成转换。 此外,你还可以使用专门的转换工具,如著名的硬盘无损分区工具Partition Magic ,使用它完成磁盘文件格式的转换也是非常容易的。首先在界面中的磁盘分区列表中选择需要转换的分区。从界面按钮条中选择“Convert Partition”按钮,或者是从界面菜单条“Operations”项下拉菜单中选择“Convert”命令。激活该项功 操作系统 FAT12 Fat16 Fat32 NTFS NTFS5.0 Windows 98 是 是 Windows NT 是 是 Windows 2000 是 是 是 是 Windows XP 是 是 是 是 Windows 2003 是 是 是 是 文件大小限制 最大支持8M 最大支持2G 不能大于4G 单文件最大64GB 单文件最大2TB
WIN7运行命令大全.txt逆风的方向,更适合飞翔。我不怕万人阻挡,只怕自己投降。你发怒一分钟,便失去60分钟的幸福。忙碌是一种幸福,让我们没时间体会痛苦;奔波是一种快乐,让我们真实地感受生活;疲惫是一种享受,让我们无暇空虚。生活就像"呼吸""呼"是为出一口气,"吸"是为争一口气。WIN7运行命令大全(不用下载) 本帖最后由 yjdffbss 于 2009-10-24 16:28 编辑 WIN7运行命令大全 我无收费之意,意在分享,造成误会,深表遗憾.图片已上传 WIN7运行命令大全 cleanmgr–打开磁盘清理工具 compmgmt.msc---计算机管理 conf—-启动 netmeeting charmap–-启动字符映射表 calc—-启动计算器 chkdsk.exe–-Chkdsk磁盘检查 cmd.exe–-CMD命令提示符 certmgr.msc–证书管理实用程序 cliconfg–SQL SERVER 客户端网络实用程序 Clipbrd–-剪贴板查看器 ciadv.msc–--索引服务程序 dvdplay–-DVD播放器 diskmgmt.msc---磁盘管理实用程序 dfrg.msc–磁盘碎片整理程序 devmgmt.msc---设备管理器 drwtsn32–--系统医生 dxdiag–--检查DirectX信息 dcomcnfg–打开系统组件服务 ddeshare–打开DDE共享设置 explorer–打开资源管理器 eventvwr–事件查看器 eudcedit–造字程序 fsmgmt.msc–-共享文件夹管理器 gpedit.msc–-组策略 iexpress–***工具,系统自带 logoff–注销命令 lusrmgr.msc–本机用户和组 mstsc–远程桌面连接 Msconfig.exe---系统配置实用程序 mem.exe–-显示内存使用情况(如果直接运行无效,可以先运行cmd,在命令提示符里输入mem.exe>d:a.txt 即可打开d盘查看a.txt,里面的就是内存使用情况了。当然什么盘什么文件名可自己决定。) mplayer2–简易widnows media player mspaint–-画图板
windows命令大全(运行命令+常用网络检测命令+DOS命令).txt每个女孩都曾是无泪的天使,当遇到自己喜欢的男孩时,便会流泪一一,于是坠落凡间变为女孩,所以,男孩一定不要辜负女孩,因为女孩为你放弃整个天堂。朋友,别哭,今夜我如昙花绽放在最美的瞬间凋谢,你的泪水也无法挽回我的枯萎~~~windows命令大全(运行命令+常用网络检测命令+DOS命令)】:s029: windows运行命令大全 winver 检查Windows版本 wmimgmt.msc 打开Windows管理体系结构(wmi) wupdmgr Windows更新程序 w脚本 Windows脚本宿主设置 write 写字板 winmsd 系统信息 wiaacmgr 扫描仪和照相机向导 winchat xp自带局域网聊天 mem.exe 显示内存使用情况 msconfig.exe 系统配置实用程序 mplayer2 简易widnows media player mspaint 画图板 mstsc 远程桌面连接 mplayer2 媒体播放机 magnify 放大镜实用程序 mmc 打开控制台 mobsync 同步命令 dxdiag 检查directx信息 drwtsn32 系统医生 devmgmt.msc 设备管理器 dfrg.msc 磁盘碎片整理程序 diskmgmt.msc 磁盘管理实用程序 dcomcnfg 打开系统组件服务 ddeshare 打开dde共享设置 dvdplay dvd播放器 net stop messenger 停止信使服务 net start messenger 开始信使服务 notepad 打开记事本 nslookup 网络管理的工具向导 ntbackup 系统备份和还原 narrator 屏幕“讲述人” ntmsmgr.msc 移动存储管理器
Windows文件系统 冯秋 2004-10-20 1 Windows FSD(文件系统驱动程序)体系结构 (1) 2 Windows 2000/XP支持的文件系统 (2) 2.1 CDFS与UDF (2) 2.2 FAT12、FAT16、FAT32 (2) 2.3 NTFS(New Technology File System) (2) 2.3.1 NTFS优点 (2) 2.3.2 NTFS FSD(文件系统驱动程序) (3) 2.3.3 NTFS磁盘结构 (3) 1Windows FSD(文件系统驱动程序)体系结构 Windows 2000/XP的FSD(File System Driver,文件系统驱动程序)分为本地FSD和远程FSD。 本地FSD:允许用户访问本地计算机上的数据 ——本地FSD负责向I/O管理器注册自己,当开始访问某个卷时,I/O管理器调用FSD 来进行卷识别。 ——完成卷识别后,本地FSD创建一个设备对象以表示所装载的文件系统。 ——I/O管理器通过卷参数块(VPB)在存储管理器创建的卷设备对象和FSD创建的卷设备对象之间建立连接。此连接将I/O管理器的I/O请求转交给FSD设备对象。 远程FSD:允许用户通过网络访问远程计算机上的数据。 由两部分组成:客户端FSD和服务器端FSD。 ——客户端FSD首先接收来自应用程序的I/O请求,并转换为网络文件系统协议命令, 然后通过网络发送给服务器端FSD。 ——服务器端FSD监听网络命令,接收网络文件系统协议命令并转交给本地FSD去执行。 FSD与文件系统操作 Windows文件系统的有关操作都是通过FSD完成的: ——显示文件I/O:应用程序通过I/O接口函数如CreateFile,ReadFile,WriteFile等来 访问文件。 ——高速缓存延迟写:此线程定期对高速缓存中已被修改的页面进行写操作。 ——高速缓存提前读:此线程负责提前读数据。 ——内存脏页写:此线程定期清洗缓冲区。 ——内存缺页处理
gpedit.msc-----组策略sndrec32-------录音机 Nslookup-------IP地址侦测器explorer-------打开资源管理器 logoff---------注销命令tsshutdn-------60秒倒计时关机命令 lusrmgr.msc----本机用户和组services.msc---本地服务设置 oobe/msoobe /a----检查XP是否激活notepad--------打开记事本 cleanmgr-------垃圾整理net start messenger----开始信使服务compmgmt.msc---计算机管理net stop messenger-----停止信使服务 conf-----------启动netmeeting dvdplay--------DVD播放器 charmap--------启动字符映射表diskmgmt.msc---磁盘管理实用程序 calc-----------启动计算器dfrg.msc-------磁盘碎片整理程序 chkdsk.exe-----Chkdsk磁盘检查devmgmt.msc--- 设备管理器 regsvr32 /u *.dll----停止dll文件运行drwtsn32------ 系统医生 rononce -p ----15秒关机dxdiag---------检查DirectX信息 regedt32-------注册表编辑器Msconfig.exe---系统配置实用程序 rsop.msc-------组策略结果集mem.exe--------显示内存使用情况 regedit.exe----注册表winchat--------XP自带局域网聊天 progman--------程序管理器winmsd---------系统信息 perfmon.msc----计算机性能监测程序winver---------检查Windows版本 sfc /scannow-----扫描错误并复原winipcfg-------IP配置 taskmgr-----任务管理器(2000/xp/2003)command--------cmd fsmgmt.msc 共享文件夹netstat -an----查看端口 osk 屏幕键盘install.asp----修改注册网页 eventvwr.msc 时间查看器 secpol.msc 本地安全设置 services.msc 服务 2K accwiz.exe > 辅助工具向导 acsetups.exe > acs setup dcom server executable actmovie.exe > 直接显示安装工具 append.exe > 允许程序打开制定目录中的数据 arp.exe > 显示和更改计算机的ip与硬件物理地址的对应列表 at.exe > 计划运行任务 atmadm.exe > 调用管理器统计 attrib.exe > 显示和更改文件和文件夹属性 autochk.exe > 检测修复文件系统 autoconv.exe > 在启动过程中自动转化系统 autofmt.exe > 在启动过程中格式化进程 autolfn.exe > 使用长文件名格式 bootok.exe > boot acceptance application for registry bootvrfy.exe > 通报启动成功 cacls.exe > 显示和编辑acl calc.exe > 计算器
WINDOWS加密文件系统的简介和使用 版权:CLIC 你今天加密了吗?公司的商业秘密文件安全吗?想杜绝艳照门事件吗?估计99%的人在自己机器上的文件(不管这些文件是多么的机密)都是没有加密的。是WINDOWS系统没有加密功能吗?NO!是大家不知道或者不会使用而已!在WINDOWS 2000以上、NTFS V5版本格式分区上的WINDOWS操作系统提供了一个叫做Encrypting File System(简称EFS)加密文件系统的新功能。该功能是一种安全的本地信息加密服务,使用核心的文件加密技术在NTFS卷上存储加密的文件,可以防止那些未经允许的对敏感数据进行物理访问的入侵者(偷取笔记本电脑,硬盘等) 一、EFS是如何工作的? 当一个用户使用EFS去加密文件时,必须存在一个公钥和一个私钥,如果用户没有,EFS服务自动产生一对。EFS加密系统对用户是透明的,对于用户来说,即使他完全不懂加密,也能加密文件,可以对单个文件进行加密,也可以对一个文件夹进行加密,所有写入该文件夹的文件都将自动被加密。 一旦用户发布命令加密文件或试图添加一个文件到一个已加密的文件夹中,EFS将进行以下几步: 1、NTFS首先在这个文件所在卷(分区)的卷(分区)信息目录下(目录名为:System Volume Information,隐藏在根目录下面)创建一个
叫做efs0.log的日志文件,当拷贝过程中发生错误时利用此文件进行恢复; 2、然后EFS服务调用系统API产生一个FEK密匙(File Encryption Key,文件加密密匙),长度一般为128位,对文件进行DES X加密算法加密;(默认的加密算法为128位的DES X算法,可选更为强大的168位3DES算法) 3、虽然FEK是在每次写文件时随机产生,但如果明文保存该密匙也会导致有泄密的漏洞,因此FEK密匙同样要进行不可逆的、非对称的加密后才能保存下来。所以此时EFS服务会根据用户的SID 产生对应的、唯一性的公有/私有密匙对; 4、然后EFS服务创建一个数据解密块Data Decryptong Field(DDF),并利用公有/私有密匙对中的公有密匙对FEK进行1024位的RSA算法加密,保存在DDF中; 5、如果系统设置了恢复代理,EFS服务还会同时创建一个数据恢复块Data Recovery Field(DRF),然后把使用恢复代理密匙(通常为另一个用户的公有密匙)加密过的FEK放在DRF。每定义一个恢复代理,EFS将会创建一个Data Recovery Agent(DRA)。恢复代理其实就是为了防止用户的密匙丢失、损坏等导致不能解密文件时可以有其他的密匙来进行解密;恢复代理可以有多个,每设置一个就会存在一个DRF; 6、最后把包含加密数据、DDF及所有DRF的加密文件写入磁盘,并删除加密过程中产生的所有临时文件;